depycode
commented
1 year ago 慢慢调优
Closed DatangST closed 1 year ago
depycode
commented
1 year ago 慢慢调优
DatangST
commented
1 year ago 类似在order by报错很高。而且我在很多加密场景他稍微有变化立马就会检测出漏洞。需要加个逻辑判断if payload=1 ret=true and p=11111111111111111111111111111111111111111111111111111111111 ret =false pass....。我觉得师傅还可以加一些除开盲注检测之外的东西。类似xia_sql的结合。
depycode
commented
1 year ago 这种已在优化中
DatangST
commented
1 year ago 不知道是不是加了师傅,似乎微信上的名字一直没回消息
------------------ 原始邮件 ------------------ 发件人: @.>; 发送时间: 2023年4月25日(星期二) 中午11:58 收件人: @.>; 抄送: @.>; @.>; 主题: Re: [depycode/burpsuite_hack] 误报太高,怎么添加师傅微信 (Issue #25)
这种已在优化中
— Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you authored the thread.Message ID: @.***>
depycode
commented
1 year ago 应该不是我
hackd0g
commented
1 year ago bool盲注的误报更高师傅 我感觉需要对页面返回内容做判断 有时候响应头会有变动 然后就判断注入了
depycode
commented
1 year ago 应该是页面有随机内容返回。
depycode
commented
1 year ago 把随机的字符干扰通过正则表达式替换掉
hackd0g
commented
1 year ago 应该是页面有随机内容返回。
是的 有些页面响应头有X-Readtime返回 有些有什么trace-id 返回 误报就很大
depycode
commented
1 year ago 不会比对响应头
hackd0g
commented
1 year ago 不会比对响应头
没去看代码 但是有时候响应的content-length的长度一样 也会判定为注入
depycode
commented
1 year ago 通过正则把干扰项排除
误报太高,怎么添加师傅微信